Skip to content

Datenverarbeitungsvertrag

ZWISCHEN

 

dem Anwender NEXUS,

 

nachfolgend als „Verantwortlicher“ bezeichnet,

 

einerseits

 

UND

 

 

dem Unternehmen VISIONIX – Luneau Technology Operations, vereinfachte Aktiengesellschaft, eingetragen unter der Handelsregisternummer SIREN 08615020800048, registriert beim Rechtspfleger (Greffe) von Évreux und mit Sitz in 2, rue Roger Bonnet, 27340, Pont de l'Arche, Frankreich,

 

 

nachfolgend als „Auftragsverarbeiter“ bezeichnet,

 

                                                                                                                andererseits,

 

 

welche im Folgenden gemeinsam als „die Parteien“ und im Einzelnen als „die Partei“ bezeichnet werden.

 

 

 

  • Personenbezogene Daten oder persönliche Daten: alle Informationen, die sich auf eine identifizierte bzw. direkt oder indirekt identifizierbare natürliche Person beziehen, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

 

  • Sensible Daten: Informationen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, die eine eindeutige Identifizierung einer natürlichen Person ermöglichen, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person. Für diese Daten gelten verstärkte Sicherheitsmaßnahmen basierend auf dem Grundsatz eines Erfassungs- und Verarbeitungsverbotes. In Artikel 9 Absatz 2 der DSGVO sind jedoch bestimmte Ausnahmen vorgesehen (z. B. Einwilligung).

 

  • Verarbeitung (von personenbezogenen Daten): jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Erheben, Auslesen, Ordnen, Speichern, Veränderung, Übermittlung usw.).

 

  • (Für die Verarbeitung) Verantwortlicher: die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Sie definiert den Zweck des Vorgangs, dem personenbezogene Daten unterzogen werden, sowie die Art und Weise, in der personenbezogene Daten verarbeitet werden. Sie bestimmt, was mit den erhobenen Daten getan wird, welche Mittel verwendet werden, um sie zu verarbeiten, und zu welchem Zeitpunkt sie verarbeitet werden usw.

 

  • Auftragsverarbeiter: die Person oder Stelle, die die personenbezogenen Daten im Auftrag des Verantwortlichen bestimmten Vorgängen unterzieht.

 

  • Datenschutzbeauftragter (DSB) bzw. DPO: Der Datenschutzbeauftragte, oftmals auch DPO (Data Protection Officer) genannt, ist für die Lenkung und Überwachung der Einhaltung der DSGVO und des Datenschutzgesetzes bei der Organisation zuständig, die ihn beauftragt hat.

 

  • Verletzung des Datenschutzes: eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

 

  • Medizinprodukt (MP) : ein Instrument, ein Apparat, ein Gerät, eine Software, ein Implantat, ein Reagenz, ein Material oder ein anderer Gegenstand, das dem Hersteller zufolge für Menschen bestimmt ist und allein oder in Kombination einen oder mehrere medizinische Zwecke erfüllen soll, wie in Artikel 2 der VERORDNUNG (EU) 2017/745 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 5. April 2017 über Medizinprodukte erläutert.

 

 

ARTIKEL 1: Gegenstand

Im Rahmen der Bereitstellung unserer im Vertrag beschriebenen NEXUS Lösungen und Plattform zur Nutzung durch professionelle Dienstleister im Augen-Gesundheitswesen muss der Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten verarbeiten.

 

Die vorliegenden Vertragsbestimmungen sollen die Bedingungen festlegen, nach welchen der Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten im Rahmen des Vertrags verarbeiten darf.

 

Im Rahmen ihrer Vertragsbeziehungen verpflichten sich die Parteien dazu, das geltende Recht in Bezug auf die Verarbeitung von personenbezogenen Daten zu beachten, insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016: die Datenschutzgrundverordnung (nachfolgend „DSGVO“ genannt).

 

 

ARTIKEL 2: Informationen zur Verarbeitung im Rahmen dieses Auftragsverarbeitungsvertrags

 

Der Auftragsverarbeiter stellt die im Vertrag genannten Dienstleistungen und Lösungen bereit.

 

Dem Auftragsverarbeiter ist es gestattet, während der gesamten Laufzeit des Vertrages und der Nutzung der Visionix Lösungen im Auftrag des Verantwortlichen die erforderlichen personenbezogenen Daten zu folgendem Hauptzweck zu verarbeiten:

 

  • Bereitstellung der Nexus Plattform zur Nutzung durch Dienstleister des Augen-Gesundheitswesens.

 

 

  • Weitere untergeordnete Zwecke sind:

 

  • Hosting von Digitalen Screening Daten

 

Für Bediener/Optiker:

  • Erfassung von Daten, die zur Messung der Refraktion benötigt werden
  • Erstellung eines Syntheseberichts zur Herstellung von geeigneten Sehhilfen
  • Kommunikation mit dem Arzt, der die vom MP gemessenen Daten analysiert und ggf. bestätigt (Validierung der Sehhilfen)

 

Für Dienstleister im Augen-Gesundheitswesen:

  • Erfassung und Anzeige von Informationen, die zur Refraktionsbestimmung und Erkennung von Augenerkrankungen benötigt werden
  • Erstellung eines Syntheseberichts, anhand dessen der Dienstleister des Augen-Gesundheitswesens sein Fachwissen strukturieren und seine Betreuung anpassen kann
  • Erfassung von zusätzlichen Informationen, die für die Verordnung von Sehhilfen durch den Dienstleister des Augen-Gesundheitswesens benötigt werden

 

 

  • Folgende Datenkategorien werden vom Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet:

 

  • Kenndaten: persönliche Daten von Endkunden, die vom Bediener in Visionix Lösungen erfasst werden, wie etwa Vorname, Zuname, Geburtsdatum, Geschlecht oder interner Code
  • Anschrift: Land, Wohnort
  • Berufliche Daten: Informationen über den Dienstleister im Augen-Gesundheitswesen, der in die Nutzung der Lösung mit eingebunden werden kann
  • Daten, die zur Entlohnung der Dienstleister des Augen-Gesundheitswesens erforderlich sind
  • Sensible Daten, die in Visionix Lösungen erhoben werden: ethnische Herkunft (spielt im Bereich der Augengesundheit eine wichtige Rolle), Gesundheitsdaten (anhand derer die Korrekturformel für Brillengläser festgelegt wird, Messdaten vom hinteren und vorderen Augensegment zur Erkennung von möglichen Erkrankungen). Krankengeschichte und sonstige Informationen zur Gesundheit des Endkunden, wenn dieser bereit ist, Angaben dazu zu machen.
  • Kommunikation zwischen den Anwendern der Nexus Plattform

 

 

  • Personenkategorien, die von der Datenverarbeitung betroffen sind:

 

  • Endkunden = Endnutzer
  • Dienstleister des Augen-Gesundheitswesens, die an der Nutzung der Visionix Lösungen beteiligt sind
  • Bediener/Optiker

 

 

  • Arten der Verarbeitung der Daten über Visionix durch den Auftragsverarbeiter:

 

Erfassung

Speicherung (Aufbewahrung)

Übertragung

Hosting

Pseudonymisierung

Nutzung (Berichterstellung)

Vernichtung

 

 

 

  • Anschrift des DPO von Visionix:

 

Vor- und Zuname: Yossi Constantinis

E-Mail: dpo@visionix.com

Anschrift: VISIONIX – Luneau Technology Operations, z. Hd. des DPO, 2 rue Roger Bonnet, 27340, Pont de l'Arche, Frankreich

 

 

ARTIKEL 3: Informationen zur Verarbeitung zu eigenen Zwecken durch das Unternehmen VISIONIX – Luneau Technology Operations

 

Dem Auftragsverarbeiter ist es gestattet, die Daten während der gesamten Laufzeit des Vertrags und der Nutzung der Visionix Lösungen zu folgenden eigenen Zwecken/folgendem eigenen Zweck und auf eigene Rechnung zu verarbeiten:

 

  • Verbesserung seiner (F&E) Dienstleistungen anhand seiner Datenbank, wobei eine direkte Identifizierung durch Visionix – Luneau Technology Operations nicht möglich ist
  • Erstellung von anonymen Analyseberichten/Statistiken (auf Grundlage der pseudonymisierten oder anonymisierten Datenbank), insbesondere im Hinblick auf die Überwachung seiner Medizinprodukte (zur Erfüllung seiner gesetzlichen Verpflichtungen)

 

 

ARTIKEL 4: Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen

 

Der Auftragsverarbeiter verpflichtet sich zu Folgendem:

 

  1. Die Daten ausschließlich zu dem Zweck/den Zwecken zu verarbeiten, die in Artikel 2 und 3 des vorliegenden Auftragsverarbeitungsvertrags genannt sind.

 

  1. Personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen zu verarbeiten und dabei die von diesem schriftlich vorgegebenen Anweisungen, insbesondere im Hinblick auf die Informationssicherheit, einzuhalten. Wenn der Auftragsverarbeiter der Auffassung ist, dass eine dieser Anweisungen die DSGVO oder jegliche andere Bestimmung des Unionsrechts oder Rechts der Mitgliedsstaaten bezüglich des Datenschutzes verletzt, muss er unverzüglich den Verantwortlichen darüber in Kenntnis setzen. Zudem muss der Auftragsverarbeiter aufgrund des Unionsrechts oder Rechts des Mitgliedsstaates, an das er gebunden ist, wenn er Daten in ein Drittland oder an eine internationale Organisation übermittelt, den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das betreffende Recht untersagt aus triftigen Gründen des öffentlichen Interesses eine solche Mitteilung. Ferner kann die spätere Datenverarbeitung, mit welcher Auftragsverarbeiter betraut werden, eine Übertragung der Daten in Länder außerhalb der EU im Rahmen des Vertrags nach sich ziehen, wofür ein Angemessenheitsbeschluss oder das Vorsehen geeigneter Garantien (insbesondere Standardvertragsklauseln) gemäß Artikel 45 und folgende der DSGVO vorausgesetzt wird.

 

  1. Die Vertraulichkeit der personenbezogenen Daten wahren, die im Rahmen des Vertrags verarbeitet werden.

 

  1. Folgendes zu unterlassen:
  • Offenlegung der verarbeiteten personenbezogenen Daten (oder eines Teils davon) in jeglicher Form;
  • Kopieren oder Speichern der personenbezogenen Informationen oder Daten, die auf den ihm übergebenen Datenträgern oder Dokumenten enthalten sind oder die er im Zuge seiner Vertragserfüllung erfasst hat, (oder eines Teils davon) in jeglicher Form und zu jeglichem Zweck, abgesehen von den Fällen, die Gegenstand der vorliegenden Vertragsbestimmungen sind.

 

  1. Dafür Sorge zu tragen, dass Personen, die zur Verarbeitung von personenbezogenen Daten im Rahmen des Auftragsverarbeitungsvertrags befugt werden:
  • sich zur Wahrung der Vertraulichkeit verpflichten oder an eine geeignete Gesetzesvorschrift bezüglich der Geheimhaltung gebunden sind,
  • im Hinblick auf den Schutz von personenbezogenen Daten hinreichend geschult werden.

 

  1. Bei der Entwicklung/Implementierung von Werkzeugen, Produkten, Anwendungen oder Diensten Datenschutzgrundsätze bereits beim Entwurf oder Standarddatenschutzvorkehrungen zu integrieren.

 

  1. Unterauftragsverarbeitung:

 

Der Auftragsverarbeiter ist befugt, zur Durchführung seiner Verarbeitungsaktivitäten mit den im Anhang aufgeführten Stellen, nachfolgend als „Unterauftragsverarbeiter“ bezeichnet, zusammenzuarbeiten.

 

Falls der Auftragsverarbeiter eine Zusammenarbeit mit weiteren Unterauftragsverarbeitern beginnen möchte, muss er zuvor eine entsprechende schriftliche Zustimmung des Verantwortlichen einholen.

 

Der Unterauftragsverarbeiter ist an die Verpflichtungen des Auftragsverarbeitungsvertrags im Auftrag und nach Weisung des Verantwortlichen gebunden. Der ursprüngliche Auftragsverarbeiter muss sicherstellen, dass der Unterauftragsverarbeiter im Hinblick auf die Implementierung von angemessenen technischen und organisatorischen Maßnahmen die gleichen hinreichenden Garantien bietet, damit die Verarbeitung in Konformität mit den Anforderungen der DSGVO erfolgt. Wenn der Unterauftragsverarbeiter seinen Verpflichtungen hinsichtlich des Datenschutzes nicht nachkommt, bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen voll und ganz für die Erfüllung der Verpflichtungen durch den anderen Auftragsverarbeiter verantwortlich.

 

  1. Auskunftsrecht der betroffenen Personen

 

Der Verantwortliche ist verpflichtet, die betroffenen Personen über die Verarbeitungsvorgänge zu informieren, die er selbst durchführt oder in seinem Auftrag durchführen lässt. Der Auftragsverarbeiter ist verpflichtet, die betroffenen Personen über die Verarbeitungsvorgänge, die er auf eigene Rechnung durchführt, sowie solche, die er im Auftrag des Verantwortlichen durchführt, zum Zeitpunkt der Datenerfassung mittels eines speziellen Informationsblatts zu unterrichten.

 

  1. Rechtsausübung der betroffenen Personen

 

Nach Möglichkeit muss der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Verpflichtung unterstützen, Anträgen von betroffenen Personen auf Ausübung ihrer Rechte nachzukommen: Auskunftsrecht, Recht auf Berichtigung, Löschung und Widerspruch, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit usw.

Wenn betroffene Personen den Auftragsverarbeiter um die Geltendmachung ihrer Rechte ersuchen, muss der Auftragsverarbeiter im Namen und Auftrag des Verantwortlichen innerhalb der in der DSGVO niedergelegten Fristen auf das Gesuch der betroffenen Personen antworten, sofern sich das Gesuch auf Daten bezieht, die Gegenstand des vorliegenden Auftragsverarbeitungsvertrags sind.

 

 

 

  1. Meldung von Verletzungen des Schutzes personenbezogener Daten

 

Der Auftragsverarbeiter meldet dem Verantwortlichen jegliche Verletzung des Schutzes personenbezogener Daten unverzüglich nach Kenntnisnahme.

 

In Absprache mit dem Verantwortlichen erstattet der Auftragsverarbeiter möglichst zeitnah bei der zuständigen Behörde gemäß Artikel 55, DSGVO, im Namen und Auftrag des Verantwortlichen Meldung über Verletzungen des Schutzes personenbezogener Daten, und zwar nach Möglichkeit innerhalb von maximal 72 Stunden, nachdem ihm die Verletzung bekannt wurde, es sei denn, es besteht keinerlei Risiko dass die betreffende Verletzung die Rechte und Freiheiten von natürlichen Personen gefährdet.

 

Falls ein erhöhtes Risiko einer Gefährdung der Rechte und Freiheiten von natürlichen Personen besteht, verständigt der Auftragsverarbeiter nach Absprache mit dem Verantwortlichen im Namen und Auftrag des Verantwortlichen die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten.

In der Mitteilung an die betroffene Person wird in klarer und gut verständlicher Form die Art der Verletzung des Schutzes personenbezogener Daten erläutert. Diese Mitteilung enthält mindestens:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich nach Möglichkeit der Kategorien und ungefähren Anzahl an Personen, die von der Verletzung betroffen sind, sowie der Kategorien und ungefähren Anzahl an Aufzeichnungen von personenbezogenen Daten, die davon betroffen sind;
  • den Namen und die Anschrift des Datenschutzbeauftragten oder eines anderen Ansprechpartners, bei dem weitere Informationen eingeholt werden können;
  • eine Beschreibung der möglichen Konsequenzen dieser Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der getroffenen Maßnahmen oder der vom Verantwortlichen vorgeschlagenen Maßnahmen, um Abhilfe gegen die Verletzung des Schutzes personenbezogener Daten zu schaffen, sowie ggf. der Maßnahmen zur Eindämmung der möglichen negativen Konsequenzen.

 

 

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen

 

Der Auftragsverarbeiter hilft dem Verantwortlichen bei der Durchführung der Datenschutz-Folgenabschätzung oder bei der Durchführung der vorherigen Konsultation der Aufsichtsbehörde.

 

  1. Sicherheitsvorkehrungen

 

Der Auftragsverarbeiter verpflichtet sich, unter Berücksichtigung des Stands der Technik, der Kosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung technische und organisatorische Sicherheitsmaßnahmen zu implementieren, um ein den Risiken angemessenes Schutzniveau zu gewährleisten. Hierzu gehören insbesondere:

 

  • die Pseudonymisierung und Verschlüsselung von Daten je nach Kritikalität der Daten
  • Mittel, um Folgendes zu gewährleisten:
    • die Vertraulichkeit der Informationen, indem ihre Offenlegung an unbefugte Dritte verhindert wird.
    • die Integrität der Informationen, indem eine beabsichtigte oder versehentliche Modifikation oder Vernichtung zu einem anderen Zweck, als in der Verarbeitung vorgesehen, verhindert wird;
    • die Verfügbarkeit der Informationen und Informationssysteme, die im Rahmen der Verarbeitung verwendet werden, sowie die fortlaufende Resilienz der Systeme und Verarbeitungsdienste;
    • die Rückverfolgbarkeit der Verarbeitungsvorgänge, denen die Informationen unterzogen wurden;
  • die Mittel, um die Verfügbarkeit der personenbezogenen Daten und den Zugriff auf diese bei einem physischen oder technischen Zwischenfall innerhalb einer angemessenen Frist wiederherzustellen;
  • ein Verfahren, um die Wirksamkeit der technischen und organisatorischen Maßnahmen, die die Sicherheit der Verarbeitung sicherstellen sollen, regelmäßig zu prüfen, zu analysieren und zu beurteilen.

 

Zu diesem Zweck hat der Auftragsverarbeiter insbesondere die nachstehenden Maßnahmen implementiert:

 

  • Verschlüsselung der Datenbank, der Datenströme und Materialien
  • Pseudonymisierung der Daten, damit eine Identifizierung durch den Auftragsverarbeiter unmöglich ist
  • Trennung
  • logische Zugriffskontrolle, insbesondere Verwaltung der Zugriffsberechtigungen, persönliche Konten mit starker Authentifizierung, Überprüfung der Passwortstärke und gesicherte Speicherung von verschlüsselten Passwörtern
  • Protokollierung zur Aufzeichnung von Zugriffen und Zwischenfällen
  • gesicherte Archivierung
  • Geheimhaltungsverpflichtung für Mitarbeiter und Auftragsnehmer
  • Sicherung von Servern (Zertifizierung nach ISO 27001 – HDS des Rechenzentrums)
  • Hosting ausschließlich auf in Europa installierten Servern
  • tägliche Sicherung und redundante Server
  • organisatorische Maßnahmen wie:
    • Integration des Schutzes der Privatsphäre in Projekte
    • Personalverwaltung
    • Management von Drittparteien
    • Einsetzung eines DPO
    • Implementierung von internen Verfahren zum Umgang mit Verletzungen des Datenschutzes und zur Ausübung von Rechten

 

  1. Kopien und Verwendung von personenbezogenen Daten bei Vertragsende

 

Der Auftragsverarbeiter verpflichtet sich, am Vertragsende oder bei vorläufiger Vertragsbeendigung keinerlei Kopien der gespeicherten personenbezogenen Daten aufzubewahren, es sei denn, dies wird anderweitig von Gesetzen vorgeschrieben, an die der Auftragsverarbeiter insbesondere in seiner Rolle als Hersteller von Medizinprodukten gebunden ist.

 

  1. Verzeichnis von Verarbeitungstätigkeiten

 

Der Auftragsverarbeiter erklärt, dass er ein schriftliches Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führt, die im Auftrag des Verantwortlichen durchgeführt werden. Darin erfasst werden:

 

  • Name und Anschrift des Verantwortlichen, in dessen Auftrag er tätig ist, von möglichen Auftragsnehmern sowie ggf. des Datenschutzbeauftragten;
  • die Kategorien der Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden;
  • wenn zutreffend, Übermittlungen von personenbezogenen Daten an Drittländer oder eine internationale Organisation unter Angabe dieser Drittländer oder dieser internationalen Organisation sowie im Falle von Übermittlungen, die Gegenstand von Artikel 49, Absatz 1, zweiter Unterabsatz der Europäischen Datenschutz-Grundverordnung, sind, der Dokumente, die das Vorhandensein angemessener Garantien nachweisen;
  • nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsvorkehrungen, darunter je nach Anforderungen:
    • Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
    • Mittel, die die Vertraulichkeit, Integrität, Verfügbarkeit und fortlaufende Resilienz der Verarbeitungssysteme und -dienste garantieren;
    • Mittel, die ein Wiederherstellen der Verfügbarkeit der personenbezogenen Daten und des Zugriffs auf diese bei einem physischen oder technischen Zwischenfall in angemessener Frist ermöglichen;
    • ein Verfahren, um die Wirksamkeit der technischen und organisatorischen Maßnahmen, die die Sicherheit der Verarbeitung sicherstellen sollen, regelmäßig zu prüfen, zu analysieren und zu beurteilen.

 

  1. Dokumentation und Überprüfungen

 

Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Dokumente oder Bescheinigungen zur Verfügung, um die Erfüllung seiner Verpflichtungen nachzuweisen.

Der Auftragsverarbeiter ermöglicht das Durchführen von Überprüfungen, einschließlich praktischer Kontrollen der vertraglichen Garantien, durch den Verantwortlichen, in dem Maße, in dem bestimmte Elemente nicht durch Geschäftsgeheimnisse, Berufsgeheimnisse oder Urheberrechte geschützt sind.

Es wird ausdrücklich dargelegt, dass jegliche Überprüfung der technischen oder organisatorischen Sicherheitsvorkehrungen beim Auftragsverarbeiter in dessen Gegenwart auf Kosten des Verantwortlichen durchgeführt wird, und zwar durch einen kompetenten und unabhängigen Prüfer, der einvernehmlich mit dem Auftragsverarbeiter hierzu autorisiert wurde.

 

 

ARTIKEL 5: Pflichten des Verantwortlichen gegenüber dem Auftragsverarbeiter

 

Der Verantwortliche verpflichtet sich zu Folgendem:

 

  1. dem Auftragsverarbeiter die Daten, die Gegenstand dieser Vereinbarung sind, bereitzustellen.
  2. sämtliche Anweisungen zur Verarbeitung der Daten durch den Auftragsverarbeiter schriftlich zu dokumentieren.
  3. im Vorfeld und während der gesamten Laufzeit der Verarbeitung die Erfüllung der in der DSGVO vorgegebenen Verpflichtungen durch den Auftragsverarbeiter zu überwachen.

 

Im Rahmen der Überwachung der Verarbeitung kann der Verantwortliche Überprüfungen und Inspektionen beim Auftragsverarbeiter durchführen.

Der Verantwortliche kann auf Antrag von betroffenen Personen eine Kopie der vorliegenden Bestimmungen und eine allgemeine Beschreibung der Sicherheitsvorkehrungen sowie eine Kopie jeglichen Unterverarbeitungsvertrages, der in Übereinstimmung mit den vorliegenden Bestimmungen geschlossen wurde, aushändigen, sofern diese Bestimmungen oder der Vertrag keinerlei geschäftliche Informationen enthalten; sollte dies der Fall sein, kann er diese Informationen entfernen.

 

DE_Subcontractors